Responsabilità e nuove regole, il 2018 cambia la cyber security in Europa

06 Dicembre 2017

Sicurezza informatica Nuove regole sui sistemi di pagamento, ma anche sulla gestione dei dati e sulla sicurezza delle reti.

> Cybersecurity summit - il punto sulle strategie di Smart defence

> Mercato unico digitale - consultazione su economia europea dei dati

Il 2018 sarà un anno chiave per la cyber security in Europa. Nel giro di pochi mesi, tra gennaio e maggio, entreranno in vigore o dovranno essere recepite infatti tre direttive fondamentali per rendere la nostra economia pienamente digitale, a partire dai servizi finanziari. Si tratta della PSD2, della NIS e della GDPR: l’effetto pratico sarà di avvicinarci all’assetto degli Stati Uniti. Anche se questo comporterà un impatto notevole nell’organizzazione aziendale e nelle relative responsabilità dei diversi dirigenti.

I servizi di pagamento

Per comporre il quadro dei cambiamenti in arrivo nei prossimi mesi, partiamo con la PSD2, la direttiva sui servizi di pagamento nel mercato interno europeo: andata in vigore dal 13 gennaio del 2016, dovrà essere recepita dai paesi membri dell’Ue entro il 13 gennaio del 2018. Quindi, il prossimo anno sarà decisivo su questo fronte.

Le innovazioni in arrivo

L’obiettivo della direttiva è consentire lo sviluppo del mercato interno dei pagamenti secondo un modello sicuro ed efficiente. Allo stesso tempo, però, bisognerà aumentare di molto la sicurezza del sistema. Le innovazioni in arrivo, che porteranno all’aumento esponenziale dei servizi di pagamento elettronico nel giro di pochi anni, dovranno essere accompagnate dalla massima tutela degli utenti.

L'impatto sulle banche

L’impatto che queste novità stanno avendo su soggetti come le banche è già palpabile. Queste, infatti, dovranno considerare con attenzione quali sono gli obblighi imposti dalla direttiva. Ma, a un livello successivo, dovranno guidare il processo di innovazione del sistema, rendendo più tecnologicamente avanzata la customer experience dei propri clienti.

La direttiva NIS

L’altro passaggio importante riguarda la direttiva NIS (Network and information security): dovrà essere recepita entro il mese di maggio dai paesi membri. In questo caso, però, se in altri paesi europei il processo è già stato avviato, l’Italia è ancora alle prime battute e ha bisogno di diversi passaggi per arrivare alla conclusione dell’iter.

La sicurezza delle reti

La direttiva ha al centro proprio la cyber security. Il suo obiettivo è migliorare il livello di sicurezza delle reti europee, uniformando il trattamento dei dati nei diversi paesi membri. Quindi, si punta ad aumentare la capacità di gestione del rischio di tutti gli Stati, a migliorare la cooperazione tra paesi e, infine, a creare delle procedure standardizzate di gestione dei rischi da parte dei fornitori di servizi digitali.

La strategia nazionale

Ciascun paese, a partire dall’Italia, sarà anche chiamato ad approvare la propria strategia nazionale in materia di cyber security, andando a individuare gli obiettivi da raggiungere e le politiche attraverso le quali si punta a centrarli. Le norme europee indicano una serie di elementi prioritari che la strategia nazionale deve fissare.

In arrivo la GDPR

Ma non finisce qui. Perché il 25 maggio prossimo, dopo un periodo transitorio durato due anni, entrerà in vigore anche la GDPR (General Data Protection Regulation), il sistema di norme attraverso le quali l’Unione europea punta a standardizzare i sistemi di protezione dei dati personali, ammodernando tutto il meccanismo di conservazione dei dati.

> State of the Union - Cybersecurity, rafforzare mercato unico digitale

La gestione dei dati personali

L’obiettivo principale di questa direttiva, in estrema sintesi, è ridare ai cittadini residenti nell’Ue il pieno controllo sulla gestione dei dati personali, semplificando il quadro regolatorio. Questo, ovviamente, avrà un forte impatto anche sulle imprese. La nuova GDPR sostituirà il vecchio sistema di regole, contenuto in una direttiva del 1995. E bisogna ricordare che, in questo caso, non serviranno atti di recepimento da parte dei singoli Stati: le norme saranno direttamente applicabili.

Come cambiano le responsabilità

In questo quadro, però, non saranno modificate solo le regole ma cambieranno le responsabilità all’interno delle società e il loro approccio organizzativo nella gestione delle fasi più critiche. Alcune figure, come quella del direttore affari legali e societari, sono infatti destinate ad essere sempre più coinvolte in caso di attacchi e falle nella cyber security.

Il ruolo delle assicurazioni

In questo senso, il nostro sistema sta diventando molto più simile a quello degli Stati Uniti. Sono proprio queste figure che potrebbero essere chiamate a rispondere in caso di attacco hacker, phishing, malware o ransomware. In tutti questi casi, allora, avranno un peso maggiore altri attori: le compagnie assicurative.